Utilizo Google y redirección chrome://new tab y Yahoo

Resuelto
Nel -  
bazfile Mensajes publicados 58490 Fecha de registro   Estado Moderador Última intervención   -

¡Hola a todas y a todos!

He decidido hacerles una pregunta porque después de Reddit y Microsoft Community, ustedes han explorado y solucionado más este problema de ''adware hijacking'', así que me remito a ustedes...

Trabajo con Google Chrome y desde esta mañana, al abrir una página web, llego a una página de redirección llamada chrome://newtab con una imagen no indexada por Google y si la uso inadvertidamente, mis búsquedas se redirigen a Yahoo.

1. He instalado y desinstalado Chrome.

2. He hecho un combo cleaner/PC cleaner.

3. He mirado en C/users/event pero incapaz de identificar algo en los archivos recién descargados.

4. También he ido a la página de Google/configuración/al inicio y he elegido abrir en una nueva página y he indicado una URL de Google limpia, lo mismo para la elección del motor de búsqueda, solo Google está seleccionado como motor de búsqueda por defecto, bajo la pestaña ''Apariencias''/mostrar el botón de inicio he pedido abrir una página de Google limpia con una buena URL... Estos ajustes han podido ayudar sin poner fin al problema definitivamente.

Estoy en Windows 11.

¿Tendrían la amabilidad y el tiempo de ayudarme?

Gracias

Nel


10 respuestas

  1. bazfile Mensajes publicados 58490 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Hola.

    Descargar FRST .

    Una vez descargado, guarda FRST en el escritorio, luego haz clic derecho sobre FRST y elige Ejecutar como administrador, lo que dará lugar a esto:

    Espera a que aparezca el mensaje la herramienta está lista para funcionar y luego haz clic en Analizar


    Atención, espera a que aparezcan los mensajes que dicen que el análisis ha terminado.

    Al final del análisis, los dos informes FRST y Addition estarán en el escritorio.

    Enviar los informes FRST y ADDITION a cjoint.com o a pixeldrain.com .

    Luego adjunta los dos enlaces generados por cjoint.com o pixeldrain.com en tu mensaje.


    bazfile
    Moderador/Contribuidor de seguridad.
    un hola, una respuesta, un gracias siempre son agradables.

    0
  2. bazfile Mensajes publicados 58490 Fecha de registro   Estado Moderador Última intervención   20 266
     

    No hay infección en tu PC.


    PC Cleaner y Combo Cleaner son a evitar, esos programas no sirven de nada excepto para entorpecer los PCs; creo que no deberías mantenerlos, tú decides y haz lo que quieras.


    Tienes bastantes extensiones en Chrome, no estoy seguro de que todas sean muy útiles.


    Tienes algunos procesos obsoletos/orfãos.


    Hay una aplicación que se inicia al arranque del PC, es Hive-Desktop probablemente relacionada con hiveDisk que está en tu PC desde el martes pasado, ¿estás al tanto de la presencia de esta aplicación?


    Dependiendo de tu respuesta, te haré un script de corrección FRST.



    bazfile
    Moderador/Contribuyente de seguridad.
    un saludo, una respuesta, un agradecimiento siempre son bienvenidos.

    0
  3. Nel
     

    Hola Bazfile

    De hecho, el adware apareció dos días después de haber instalado Hivenet en C: para crear un disco compartido más grande que el que ofrece Google, sin embargo, desinstalé Hivenet rápidamente 24 horas después, sin duda queda alguna aplicación que se inicia al arranque, como confirmas.

    Eliminé PC cleaner anoche, puedo quitar Combo cleaner sin remordimientos ya que realmente no sirve de mucho.

    Sin embargo, me sorprende lo de las extensiones porque las extensiones visibles a través de la página de Google (configuración) son: Ghostery bloqueador, Google docs sin conexión, Google traducción, Quilbot.. Me interesa saber si hay otras? (solo Ghostery, Google trad y Quilbot son útiles para mí).

    ¡Gracias por tu ayuda!

    Nel

    0
  4. bazfile Mensajes publicados 58490 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Por otro lado, me sorprende las extensiones porque las extensiones visibles en la página de Google (configuración) son: Ghostery bloqueador, Google docs sin conexión, Google traducción, Quilbot

    Parece que hay otras menos visibles.



    Leer atentamente.

    Por lo tanto, según tus solicitudes, aquí tienes un script de corrección que eliminará los restos de Hive, un remanente de Kaspersky en el centro de seguridad, las extensiones no visibles en Chrome, los procesos huérfanos obsoletos/orfanos.

    Este script también eliminará los archivos temporales que saturan tu disco duro, aquí está la lista:

    Las siguientes carpetas serán vaciadas:

     - Archivos temporales de Windows.
     - Carpetas temporales del usuario.
     - Cachés, zonas de almacenamiento HTML5, cookies e historial para los navegadores analizados por FRST, excepto los clones de Firefox.
     - Caché de archivos abiertos recientemente.
     - Caché de Discord.
     - Caché de Java.
     - Caché HTML de Steam.
     - Caché de miniaturas e íconos del Explorador.
     - Cola de transferencia BITS (archivos qmgr.db y qmgr*.dat)
     - Caché WinHTTP AutoProxy.
     - Caché DNS.
     - Papelera.

    Si no deseas eliminar los temporales:

    Simplemente quita el comando EmptyTemp: que se encuentra al final del script.



    Script de corrección FRST.

    Procedimiento a seguir en el orden indicado:

    1- Abre FRST como administrador, para ello haz clic con el botón derecho del ratón en FRST y elige ejecutar como administrador
    2 - Copia todo el script que está en el cuadro que sigue:

    Start:: CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction HKLM\...\Run: [Combo Cleaner] => C:\Program Files (x86)\Combo Cleaner\ComboCleaner.exe [2024064 2021-11-05] (RCS LT, UAB -> RCS LT) HKLM\...\Run: [PC Cleaner] => C:\Program Files\Avanquest\PC Cleaner\application\9.9.33904.5126\PC Cleaner.exe [7212984 2025-01-14] (PC Helpsoft (7270356 Canada Inc) -> Avanquest) HKU\S-1-5-21-1151346358-4024040651-264034373-1001\...\Run: [hiveDisk] => C:\Users\Nelly Atlan\AppData\Local\hive-desktop\update.exe [2185216 2025-02-04] () [File not signed] HKLM\...\Print\Monitors\EPSON SX410 Series 64MonitorBE: E_ILMFCE.DLL (No File) Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe (No File) Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (No File) AV: Kaspersky Anti-Virus (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} FirewallRules: [{399EA612-2E94-4497-B32A-C302B353EA30}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => No File FirewallRules: [{B0F588EF-E918-4282-8D86-31F625116E6C}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => No File FirewallRules: [{F54D7033-9B8C-4156-B5C1-78923A6D3169}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => No File FirewallRules: [{9B036B66-6EE9-4F2C-A570-08D2C755A445}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => No File FirewallRules: [TCP Query User{E5145345-B740-40A0-A80E-C74CB5B4E296}C:\users\nelly atlan\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\nelly atlan\appdata\local\programs\opera\opera.exe => No File FirewallRules: [UDP Query User{D2E3421F-C156-4672-9D6D-9866A43EB928}C:\users\nelly atlan\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\nelly atlan\appdata\local\programs\opera\opera.exe => No File FirewallRules: [TCP Query User{8B90671C-6238-4971-8003-04925B3AECC9}C:\users\nelly atlan\appdata\local\hive-desktop\app-1.32.0\resources\hive-agent.exe] => (Block) C:\users\nelly atlan\appdata\local\hive-desktop\app-1.32.0\resources\hive-agent.exe => No File FirewallRules: [UDP Query User{FDF99328-AA23-4293-A2FB-317DE4A355E3}C:\users\nelly atlan\appdata\local\hive-desktop\app-1.32.0\resources\hive-agent.exe] => (Block) C:\users\nelly atlan\appdata\local\hive-desktop\app-1.32.0\resources\hive-agent.exe => No File CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM\...\Chrome\Extension: [klekeajafkkpokaofllcadenjdckhinm] CHR HKU\S-1-5-21-1151346358-4024040651-264034373-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [klekeajafkkpokaofllcadenjdckhinm] C:\Users\Nelly Atlan\AppData\Local\Hive CloudBridge C:\Users\Nelly Atlan\AppData\Local\hive-desktop C:\Users\Nelly Atlan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hive Computing SA C:\Users\Nelly Atlan\AppData\Roaming\hive-desktop C:\Users\Nelly Atlan\.hive C:\Users\Nelly Atlan\hiveDisk_Backup C:\Users\Nelly Atlan\Downloads\hiveDisk-1.32.0 Setup.exe EmptyTemp: End::

    3- Una vez copiado el script, haz clic en Corregir, FRST tomará automáticamente el script que está en el portapapeles.
     


    Deja que la corrección se realice, una vez que haya terminado se te pedirá reiniciar tu pc, hazlo tan pronto como se te solicite, ver más abajo.

    Y una vez que tu computadora se reinicie:
    4- Tendrás un archivo Fixlog en tu escritorio, luego envía este informe fixlog a https://www.cjoint.com/ o https://pixeldrain.com/ 
     

    Luego da el enlace generado por https://www.cjoint.com/ o https://pixeldrain.com/ en tu respuesta.

    5- VERIFICA Y DIME SI TU PROBLEMA SIGUE PRESENTE.


    bazfile
    Moderador/Colaborador de seguridad.
    Un saludo, una respuesta, un gracias siempre son bienvenidos.

    0
  5. Nel
     

    Hola Bazfile,

    He seguido todas tus inscripciones sin discriminación, a continuación el archivo obtenido:

    https://www.cjoint.com/c/OBjoPp4DixR

    Sin embargo, preciso que no he utilizado FRST como administrador porque no lo ofrece ni siquiera haciendo clic derecho.

    En términos de resultados tras la corrección:

    Si hago clic en Google pasando por el ícono en mi escritorio, en la primera solicitud funciona normalmente; si abro otra página "nueva pestaña" durante mi trabajo, se abre una página: chrome://new table aunque en los ''Apariencia'' y ''al inicio'' en la configuración, todo está configurado para que se abra una nueva página llamada google.com.

    Screenshot de la página de google bajo adware después de la corrección: https://www.cjoint.com/c/OBjoVhXTsCR

    Screenshot de la configuración ''Apariencia'': https://www.cjoint.com/c/OBjoZgQr8sR

    Screenshot de la configuración ''Al inicio": https://www.cjoint.com/c/OBjo33Jzq4R

    Gracias por tu investigación.

    Nel

    0
  6. bazfile Mensajes publicados 58490 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Tu problema no se debe a una infección, por lo que ya no concierne al foro de seguridad. Redirijo tu publicación al foro de Google Chrome, puedes intentar restablecer Google Chrome con resetbrowser.

    Tu versión de Windows 11 es una versión U.S, supongo que es normal.

    Windows 11 Pro Version 24H2 26100.3037 (X64) Language: English (United States)

    He tomado a cargo tu publicación porque estaba en el foro de seguridad, ya que no hay infección por mi parte, eso será todo, espera otras respuestas.


    Para el fixlog está OK.

    Desinstala FRST, renombra el archivo FRST que descargaste, cámbiale el nombre a uninstall, luego una vez que el archivo esté renombrado, ábrelo, la desinstalación se realizará automáticamente al reiniciar el pc.

    0
  7. Nel
     

    Está bien, entiendo, gracias.

    Me es imposible descargar Resetbrowser, no se descarga nada al hacer clic en el enlace.

    Gracias por sus esfuerzos, ¡estoy a la espera de sus colegas/amigos!

    Nel

    0
    1. bazfile Mensajes publicados 58490 Fecha de registro   Estado Moderador Última intervención   20 266
       

      Me es imposible descargar Resetbrowser

      Hay problemas con algunos enlaces en CCM, te lo he puesto aquí.

      Si no, puedes restablecer Chrome a través de este método.

      0
  8. Nel
     

    Bzfile, MPM 10

    Acabo de volver a probar el enlace Restablecer navegador encapsulado por Bazfile, ¡muchas gracias!!!!!

    Todo funciona perfectamente y al trabajar en investigación utilizando Google/Google Scholar, es un verdadero alivio.

    ¡Bravo y gracias de nuevo!

    Nel

    0
    1. bazfile Mensajes publicados 58490 Fecha de registro   Estado Moderador Última intervención   20 266
       

      Se dice que nunca hay dos sin tres, el tercer foro ha sido el bueno. :)

      @+ en CCM.

      0